Metodologa es una secuencia de pasos lgica y ordenada de proceder
para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica. El contenido de este documento tratara en forma general las mismas, as como de manera particular CRMR (Computer Resource Management Review) El objetivo del trabajo prctico se divide en dos partes. En primer lugar, describir las metodologas de auditora informtica en forma general. En segundo lugar profundizar sobre una metodologa en particular, CRMR. En la primera parte se darn a conocer los puntos o fases que toda auditora debe tener en cuenta. En la segunda parte se har un estudio de la metodologa elegida para corroborar las conclusiones obtenidas en la primera parte de la investigacin. El trabajo constar con el anlisis detallado de tan solo una metodologa, la misma debe ser usada extensamente y estar disponible para su estudio. Planificacin de la auditoria informtica. Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora informtica debe iniciar con una fase de planeacin en la cual participen todas las reas de la organizacin para identificar los recursos necesarios que permitirn llevar a cabo este proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, anlisis costo/beneficio, personal humano que intervendr en el proyecto, marco de referencia de Auditora Informtica que se va a utilizar, basndose en varios objetivos fundamentales que son: * Evaluacin de los sistemas y procedimientos * Evaluacin de los equipos de cmputo * Evaluacin del proceso de datos Lo cual se resume en obtener un conocimiento inicial de la organizacin a evaluar, con especial nfasis en sus procesos informticos basados en evaluaciones administrativas realizadas a los procesos electrnicos, sistemas y procedimientos, equipos de cmputo, seguridad y confidencialidad de la informacin, y aspectos legales de los sistemas y la informacin. Una vez que se ha obtenido un conocimiento inicial de la organizacin se procede a establecer metas, programas de trabajo de auditora, personal que intervendr en el proyecto, presupuesto financiero, y las fechas y la manera como se presentarn los informes de las actividades de cumplimiento del proyecto, basados en la realidad de la organizacin evaluada. Definicin de pruebas, Pasos para realizar las pruebas. Es un grupo de herramientas que permite reproducir la funcionalidad de una Aplicacin informtica mediante el uso de guiones o "scripts", tanto en la interfaz grfica de usuario como en la comunicacin de la aplicacin con otras, como puede ser entre una aplicacin que se ejecuta en un navegador y el servidor web que le atiende y entre ste y una base de datos. La ejecucin de la auditora Informtica consiste principalmente en la recoleccin de informacin y evidencias suficientes, para fundamentar los comentarios, conclusiones y recomendaciones con respecto a la Administracin de Tcnica de Informacin, lo cual se realiza utilizando diversas tcnicas como las siguientes: * Entrevistas. * Simulacin. * Cuestionarios. * Anlisis de la informacin documental entregada por el auditado. * Revisin y Anlisis de Estndares. * Revisin y Anlisis de la informacin de auditoras anteriores. Tipos de pruebas: pruebas altas, prueba de enlace, prueba de aceptacin, prueba de caja blanca, prueba de caja negra, prueba de sensibilidad, prueba de avance, prueba de huracn, prueba en paralelo, prueba ascendente y descendente, entre otras. Prueba en Paralelo. Las pruebas en paralelo involucran probar productos en paralelo o subcomponentes de forma simultnea. Una estacin de prueba en paralelo comparte un conjunto de equipos de prueba a travs de mltiples interruptores de prueba, pero, en algunos casos, puede tener un conjunto de hardware por separado para cada UUT. La mayora de los sistemas de prueba no paralelos prueban solo un producto o subcomponente a la vez, dejando inactivas las pruebas de hardware costosas ms de 50 por ciento del tiempo de prueba. Por tanto, con las pruebas en paralelo, usted puede incrementar el procesamiento de las pruebas de manufactura sin gastar mucho dinero en duplicar o descartar sistemas de prueba adicionales.
Prueba en Huracn. Se utilizan para simular efectos cclicos dentro de una tarea, sea hacen referencias a algunos tipos de pruebas en sistemas en forma de ciclos repetitivos para contemplar el diagnostico. El espcimen puede ser cualquier tipo de elemento usado en cualquier tipo de subcomponente o modulo del sistema auditado. Normalmente las pruebas de huracanes se hacen en mdulos, submodulos y partes de o componentes de un sistema. Pruebas de Aceptacin. El objetivo de las pruebas de aceptacin es validar que un sistema cumple con el funcionamiento esperado y permitir al usuario de dicho sistema que determine su aceptacin, desde el punto de vista de su funcionalidad y rendimiento. Las pruebas de aceptacin son definidas por el usuario del sistema y preparadas por el equipo de desarrollo, aunque la ejecucin y aprobacin final corresponden al usuario. La validacin del sistema se consigue mediante la realizacin de pruebas de caja negra que demuestran la conformidad con los requisitos y que se recogen en el plan de pruebas, el cual define las verificaciones a realizar y los casos de prueba asociados. Dicho plan est diseado para asegurar que se satisfacen todos los requisitos funcionales especificados por el usuario teniendo en cuenta tambin los requisitos no funcionales relacionados con el rendimiento, seguridad de acceso al sistema, a los datos y procesos, as como a los distintos recursos del sistema. Pruebas de Caja Blanca. Su objetivo es probar las lneas de falla ms probables de la aplicacin. Para realizar pruebas de caja blanca, primero se desglosa el diseo de la aplicacin en busca de trayectorias y otras particiones de control y datos. Despus se disean pruebas que recorran todas o algunas de estas trayectorias y se ejecutan todas las partes o elementos. Pruebas de Caja Negra. Comprueba el correcto funcionamiento de los componentes del sistema de informacin, analizando las entradas y salidas y verificando que el resultado es el esperado. Pruebas descendentes y ascendentes. La estrategia de pruebas descendentes y ascendentes refleja diferente enfoques de la integracin del sistema. En la integracin descendente, los componentes de los niveles altos de un sistema se integran y prueban antes de que se complete su diseo e implementacin. En la integracin ascendente, los componentes de los niveles bajos se integran y prueban antes de que se desarrollen los componentes de los niveles altos. Las pruebas descendentes son una parte integral del proceso de desarrollo descendente en el cual este ltimo inicia con los componentes de los niveles altos y descienden en la jerarqua de los componentes. Estos tienen la misma interfaz que los componentes pero funcionalidad muy limitada. Despus de que se programa y prueba el primer componente de nivel alto, se implantan y prueban sus subcomponentes, de la misma forma. Este proceso contina hasta que los componentes de nivel bajo se implanten. De esta forma queda completamente probado el sistema completo. En contraste, las pruebas ascendentes comprenden integrar y probar los mdulos en los niveles bajos de la jerarqua, y despus asciende por la jerarqua de los mdulos hasta que el mdulo final se prueba. Este enfoque no requiere que el diseo arquitectnico del sistema este completo por lo que se puede comenzar en una etapa inicial del proceso de desarrollo. Se emplea donde el sistema reutiliza y modifica componentes de otros sistemas.
Repblica Bolivariana de Venezuela Ministerio del Poder Popular Para la Educacin Universitaria Fundacin Misin Sucre Aldea Ana Mara Campos PNF: Sistemas e Informtica Seccin: 0701-IS U.C: Auditoria y Mantenimiento de Sistema.
El uso de la computadora trajo consigo un cambio en la forma en que se hacen muchas actividades en nuestro mundo, prcticamente casi todo lo que hacemos o usamos se asisten en el uso de las computadoras; los carros, aviones, centrales telefnicas, satlites, medicina, arquitectura, administracin de negocios; slo constituyen una pequea parte de una gran gama de usos que se les puede dar a las computadoras. Situaciones distintas existan quince aos atrs y no sabemos en que situaciones estaremos dentro de diez aos, es increble el cambio tecnolgico que han vivido las ltimas tres generaciones; el ser humano ha avanzado tecnolgicamente en los ltimos cuarenta aos ms que lo que sus antecesores avanzaron en los ltimos mil aos. Y es que con el pasar del tiempo la computadora se ha vuelto tecnolgicamente mejor, avanzando en la rapidez de procesos, cantidad de almacenamiento, perfeccionando sonidos y formas de la informacin y por su parte ha pasado de ser un bien de lujo a un bien necesario en el que prcticamente es inconcebible no tenerlo como parte de los activos de una empresa o en un hogar. Como parte de dicho cambio en la forma de tratar la informacin, se hace sumamente importante guardar la integridad de los datos que en los diferentes sistemas se pueden procesar, as el auditor de sistemas de informacin viene a desempear un rol importante el cual consiste en disminuir el riesgo que pueda causar el mal uso accidental o intencional en contra de la informacin, teniendo como objetivos que la informacin sea ntegra, segura y confiable para las personas. El presente trabajo titulado Metodologias para realizar auditorias informaticas tiene como objetivo presentar en una forma clara y concisa un proceso general y tentativo de la aplicacin que se le puede dar a la auditora en cualquier sistema de informacin que utilice computadoras.