Evaluacin y Auditoria de Sistemas

Joaquin Llanos
Carrera de Ingeniera en Sistemas,
Universidad Tcnica del Norte
Ibarra, Ecuador
j.......@utn.edu.ec

Abstract El creciente uso de las tecnologas informticas como informtica de la empresa y la deficiencia de seguridades
herramienta para lograr ventaja competitiva y tratar de lgicas y fsicas que garanticen la integridad del personal,
controlar a travs de sistemas computacionales el creciente equipos e informacin.
volumen de operaciones generadas por las actividades
Uno de los mas grandes justificativos es el descubrimiento de
comerciales y financieras de las instituciones mexicanas, Han
hecho de la vigilancia y evaluacin como constantes de estos
fraudes efectuados con el computador por la falta de politicas,
sistemas. Conocer los antecedentes y conceptos como objetivos, normas, metodologas, asignacin de tareas y
fundamentales de la materia de auditora como clasificaciones y adecuada administracin de recursos [3].
definicin de tipo de auditoras. El objetivo es mostrar los
elementos que consolidan la existencia de disciplina de auditora D. Tipos de Auditora de Sistemas
en general para la comprensin de los aspectos bsicos de las 1) Auditoria con la computadora
auditoras de sistemas computacionales Se la realiza con el apoyo de los equipos de computo y sus
programas para evaluar cualquier tipo de actividades y
I. INTRODUCCIN operaciones.
La informtica hoy esta subsumida en la gestin integral de la 2) Auditoria sin la Computadora
empresa, y por eso las normas y estndares propiamente Cuyos mtodos y procedimientos estn orientados unicamente a
informticos deben estar, por lo tanto, sometidos a los generales la evaluacin tradicional del comportamiento y valides de las
de la misma. transacciones econmicas y operacionales de un rea de
Las organizaciones informticas forman parte de lo que se ha computo.
denominado el management o gestin de la empresa, debido 3) Auditora de la Gestin Informtica
a su importancia en el funcionamiento de una empresa, existe la Es la auditoria cuya aplicacin se enfoca exclusivamente a las
Auditora de Sistemas. La palabra auditora proviene del latn revisiones de las funciones y actividades de tipo administrativo
auditorius, y de esta proviene la palabra auditor, que se refiere a que se realizan dentro de un centro de computo.
todo aquel que tiene la virtud de or [1]. Se aplica tambin para verificar el correcto desarrollo,
instalacin, mantenimiento explotacin se los sistemas as como
II. DESARROLLO DE CONTENIDOS sus equipos e instalaciones.
4) Auditora de Seguridad de Sistemas
A. Concepto Es la revisin exhaustiva, tcnica y especializada que se realiza
Una auditora es evaluar la eficiencia y eficacia con que se a todo lo relacionado con la seguridad de un sistema de
estan operando para que, por medio del sealamiento de cursos cmputo, sus reas y personal as como a las actividades,
alternativos de accion, se tomen decisiones que permitan funciones y acciones preventivas y correctivas que contribuyan a
corregir errores, en caso de que existan, o bien mejorar la forma salvaguardar la seguridad de los equipos computacionales,
de actuacin. A continuacin se detalla un concepto relacionado bases de datos, redes, instalaciones y usuarios.
de expertos. 5) Auditoria a los Sistemas de Redes
La verificacin de controles en el procesamiento de la Es la revisin especifica que se realiza a los sistemas de redes de
informacin, desarrollo de sistemas e instalacin con el objetivo una empresa considerando en la evaluacin los tipos de redes,
de evaluar su efectividad y presentar recomendaciones a la arquitectura, topologa, su protocolo de informacin [4].
Gerencia [2]. E. Criterios Bsicos de Evaluacin
B. Objetivos Generales de una Auditora de Sistemas 1) De la organizacin del rea de sistemas de confirmacin
Buscar una mejor relacin costo-beneficio de los sistemas
automticos o computarizados diseados e implantados por el El auditor debe identificar en que lugar dentro de la estructura
PAD. organizacional esta ubicada el rea de Sistemas de Informacin
Incrementar la satisfaccin de los usuarios de los sistemasla que deber depender funcionalmente de un nivel tal que
computarizados. permita garantizar su independencia tanto de las reas usuarias
Asegurar una mayor integridad, confidencialidad y como de Administracin [5].
confiabilidad de la informacin mediante la recomendacin de 2) Documentacin exigible
seguridades y controles. Debe solicitar la documentacin detallada sobre el
equipamiento informtico, que incluya diagramas y distribucin
C. Justificacin para realizarla
fsica de las instalaciones, inventario de hardware y
El aumento considerable e injustificado del presupuesto del
software completos, diagramas topolgicos y lgicos de las
Departamento de Procesamiento de Datos ademas del
desconocimiento de en el nivel directivo de la situacin
redes, flujo de informacin por la red, tipos de vnculos y
ubicacin de nodos.
3) Seguridad Lgica
Dentro de la estructura de la organizacin deber comprobar
si existe una funcin y control de la seguridad de acceso a los
datos, un responsable de seguridad que sea independiente del
rea de Sistemas de Informacin y que se reporte al mximo
nivel de autoridad.
4) Sistemas Aplicativos y Registro de Movimientos
Se debe verificar la existencia de un archivo en soporte
magntico, con todas las transacciones y mensajes del sistema,
para uso de los responsables del control y auditora. Este
archivo debe reunir todas las condiciones de seguridad e
integridad con el fin de garantizar su confiabilidad y
mantenerse disponible durante los aos que fijan las normas
correspondientes.
5) Teleprocesamiento y Telecomunicaciones, Redes y Accesos
Remotos
Deber observar si los sistemas que se utilicen para la
transferencia de datos cumplen con los requisitos mnimos de
controles internos establecidos en los puntos anteriores y todo lo
que se refirea a la seguridad fsica y operacin de los equipos,
as como que existan circuitos alternativos frente a posibles
interrupciones del servicio.
6) Encriptacin
Se deber insistir en la necesidad de contar, dentro de las redes
de telecomunicaciones, con un software medidamente
administrado, a fin de proveer una adecuada seguridad para los
accesos a las redes, los cambios a su sistema operativo y el
monitoreo de la actividad que se desarrolla en ellas. Deben
verificar que no estn usuarios con atributos similares en riesgo
[6].

CONCLUSIONES
III.
Una auditora debe orientar el objetivo de su informe en
conseguir un mejoramiento de las condiciones esenciales para
alcanzar el estado inicial de seguridad y de auditabilidad.
La auditoria en informtica es la revisin y la evaluacin de
los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de
la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma
de decisiones.
La auditoria en informtica deber comprender no slo la
evaluacin de los equipos de cmputo, de un sistema o
procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de
informacin adems la auditoria en informtica es de vital
importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para
que los sistemas sean confiables y con un buen nivel de
seguridad. Adems debe evaluar todo (informtica, organizacin
de centros de informacin, hardware y software).

REFERENCIAS
[1] Muoz Razo, Carlos. Auditora En Sistemas Computacionales. 1st ed.
Mexico: Pearson Educacin, 2002. Print.
[2] V. Cepa and S. Kloppenburg, Representing explicit attributes in
UML, in 7th International Workshop on Aspect-Oriented Modelling
(AOM),March 2005.
[3] Bastian Swens. (2013). COSO II. 12/04/2014, de Internal control
framework Sitio web:
http://www.consejo.org.ar/comisiones/com_43/files/coso_2.pdf
[4] Universidad Nacional de Colombia. (2014). Auditoria de sistemas y
gerencia de proyectos informaticos.
[5] J. Coutaz, PAC: an object oriented model for dialog design, in
INTERACT87. University of Glenoble: Elsevier, September 1987,
pp. 431436.
[6] P. Clements, R. Kazman and M. Klein, "Working session:
software architecture competence". In Software Architecture,
2007. WICSA 2007. The Working IEEE/IFIP Conference
on (pp. 27-27). IEEE.