UNIVERSIDAD NACIONAL DEL SANTA

FACULTAD DE INGENIERÍA
E.A.P. DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

“Auditoría de Software a la
Municipalidad Distrital de Santa”

ALUMNO:

- VAGAS LOPEZ JEAN

- VELASQUEZ GONZALES ANGELO
- VENTURA MIMBELA FRANK

DOCENTE:

- ING. CARLOS GILL

ASIGNATURA:

- AUDITORÍA DE SISTEMAS

CICLO:

- X

2018
Objetivos de la Auditoría.
 Objetivo General

Evaluar el riesgo de errores significativos que se pudieran encontrar en el análisis

del software y hardware de la Municipalidad Distrital de Santa

 Objetivos Específicos
A continuación veremos una lista de los objetivos de la auditoria del Sofware “ ” de la
Municipalidad del distrito de Santa
 Revisar las librerías utilizadas por los programadores.
 Examinar que los programas realizan lo que realmente se espera de ellos.
 Revisar el inventario de software.
 Comprobar la seguridad de datos y software.
 Examinar los controles sobre los datos.
 Revisar los procedimientos de entrada y salida.
 Verificar las previsiones y procedimientos de back-up.
 Revisar los procedimientos de planificación, adecuación y mantenimiento del
software del sistema.
 Revisar la documentación sobre software de base.
 Revisar los controles sobre programas producto (paquetes externos).
 Examinar la utilización de estos paquetes.
 Verificar periódicamente el contenido de los ficheros de usuario.
 Determinar que el proceso para usuarios está sujeto a los controles adecuados.
 Examinar los cálculos críticos.
 Supervisar el uso de las herramientas potentes al servicio de los usuarios.
 Comprobar la seguridad e integridad de las bases de datos.
Auditoría informática del entorno software.

Software del sistema.

Para un eficiente funcionamiento del ordenador y garantizar su continuidad es importante

la puesta en marcha y el control de todas las modificaciones al sistema operativo, y en
general, de todo el software de base del sistema. Garantizando así la no interrupción por falta
de actualización en las diferentes versiones que con frecuencia lanzan.

También es necesario establecer controles y restricciones adecuados para evitar los cambios
desautorizados en el software del sistema y el uso incontrolado de determinadas utilidades
potentes, y que no dejan la menor huella para auditoría tras su ejecución.

El auditor, revisará la forma en que se está realizando el proceso de modificación o alteración

del software de base: es necesario que tal operación esté organizada y dotada del nivel de
seguridad que requiere una operación de esta índole, con una correcta normativa al respecto
y contemplando las oportunas autorizaciones por parte de la dirección informática. La
supervisión en este sentido es fundamental dada la propia importancia del software a
modificar.

Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos y
programas prácticamente sin ningún tipo de control ni restricción, permitiendo la
modificación directa de estos al margen de cualquier sistemática. Esto supone un gran riesgo
para la información almacenada. Por ello se hace necesario establecer controles sobre su
utilización. Como primera medida se catalogarían “sensibles” aquellas utilidades peligrosas
para la integridad de la información (accesos a ficheros, copias de ficheros, etc.) y que, sólo
podrán ser utilizadas por personal autorizado. Si por necesidades de la instalación alguna de
estas rutinas debe permanecer “on-line” se dispondrá de un sistema de passwords para su
utilización.

Al igual que las utilidades, determinados comandos del sistema deben tener un carácter de
uso restringido, por lo que se examinará la corrección en la definición de los perfiles de
usuario para evitar el uso indiscriminado de tales comandos.
 El control de los datos.

Una frase muy utilizada en informática viene a decir que “a un sistema al que se le
proporcione basura a la entrada, nos dará basura a la salida”. El tratamiento automático de
los datos ignora su significado y atiende tan sólo a su contenido y estructura. Ello implica
que el control informático debe vigilar no sólo el valor de la información sino también su
forma. El control de los datos a la entrada es fundamental y en la auditoría se examinará la
forma en que se han establecido los programas de control de datos en las diferentes
aplicaciones productivas, verificando que, estos programas permitan detectar:

 Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error.

 Errores en los indicativos que están aportando falsa información sobre un ítem
erróneo o una falta de información sobre el verdadero. La mayoría de los métodos
utilizados para este fin se basan en la utilización de una letra o dígito de control que
se añade al dispositivo a depurar.
 Errores en la zona de enunciado que, al no ser muy graves, en la mayoría de los casos
puede no ser necesaria su detección por el excesivo coste de las redundancias
necesarias para tal fin. El criterio del auditor dilucidará sobre la necesidad de este tipo
de control.
 Errores en campos de importe que por su naturaleza deben cuidarse sobremanera.
Desgraciadamente, no existen procedimientos infalibles que estén exentos de
rechazar datos que sí son correctos o que, por el contrario, permitan el paso a los
incorrectos. Se pueden establecer test programados basándose en la experiencia
previa y utilizando, por ejemplo, técnicas estadísticas, pero sin perder de vista en
ningún momento la falibilidad de estos procedimientos.
 Errores por pérdida de información. Estos fallos son más fáciles de detectar y
prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de
campos.
Control periódico de ficheros y programas.
Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión
regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan
anormalmente alteren información contenida en los ficheros, o que las versiones disponibles
de los programas fuente son las adecuadas y no han sufrido modificación alguna.

Con el objetivo de eliminar este tipo de problemas es conveniente que en la auditoría se

revisen ciertos puntos:

 La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de

valores numéricos, totales de registros, con indicación de su tipo y, en suma, toda
una serie de medidas que permitan un mejor seguimiento.
 El procesamiento regular de los ficheros, investigando cualquier tipo de
información que proporcione una noción del estado de los mismos.
 El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes y
después de su procesamiento.
 Implantación de un software que permita un control de las versiones de los
programas, impidiendo que se obtenga copia de un programa mientras no se
“devuelva” otra copia previa y manteniendo un fichero histórico de las
modificaciones.
 La adecuada concienciación ante la importancia de registros y documentos de forma
que éstos estén clasificados al menos en las siguientes categorías:
o Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en
un local diferente a aquel en que se asienta el centro de informática.
o Importantes: En este caso su salvaguarda se almacenará en una sala diferente
de aquellas utilizadas por informática.
o Útiles: estos registros necesitarán también de una copia de seguridad que se
puede guardar en la propia sala del servicio informático.
Copia de seguridad.

Un elemento clave en la auditoría del entorno de datos y programas lo constituye la revisión

de los procedimientos de obtención de copias de seguridad.

La necesidad de la obtener copias de ficheros y programas es más que evidente y cualquier

instalación ha de intervenir unos minutos del tiempo de los operadores al final de la jornada
para obtener tales copias, como mínimo de los ficheros y/o programas que hayan sufrido
alguna modificación a lo largo del día. Además de estas copias diarias se obtendrá otra con
una periodicidad marcada por la propia naturaleza de los procedimientos en explotación.

Si en la instalación auditada existen ordenadores personales bajo control directo de los

departamentos de usuarios, el auditor comprobará que se han adoptado medidas según los
cuales los usuarios son conscientes de la necesidad de obtención de copias de seguridad de
una manera regular, así como capaces de obtener y almacenar dichas copias.

En todo caso es necesario que los procedimientos de back-up estén debidamente

documentados.

Selección de paquetes.
En un examen de este tipo, no debe descuidarse la revisión de la metodología que tenga la
empresa auditada en lo que se refiere a la selección y adquisición de paquetes de software.
Esta metodología de selección deberá incluir una evaluación técnica que nos asegure que
efectivamente el programa que vamos a adquirir podrá funcionar en la Municipalidad
Distrital de Santa y evalué los aspectos de seguridad, documentación, mantenimiento, etc.
El proceso de selección deberá concluir con un informe detallado que incluya todos los
posibles análisis efectuados, así como las razones que indujeron a tomar una u otra
alternativa.

Desarrollos con herramientas evolucionadas.

Los lenguajes de cuarta generación constituyen una importante línea de evolución de la

informática de gestión. Ahora bien, la utilización de estas técnicas no debe hacerse perdiendo
de vista algunos puntos de importancia de cara a las aplicaciones ya existentes y a los futuros
desarrollos, por lo cual la revisión y seguimiento que se realice sobre el uso de estas
herramientas se fijara en:

 La coordinación necesaria entre el staff de proceso de datos y los departamentos de

usuarios. Se trata así de evitar el uso indiscriminado de estas herramientas de
desarrollo, pues de lo contrario no sería nada anormal encontrarse con aplicaciones
alternativas a las convencionales desarrolladas por informática para solucionar
problemas puntuales.
  La documentación y formación facilitadas a los usuarios. Se trata de evitar los
individualismos de los usuarios cuando estos estén realizando desarrollos
valiéndose de las técnicas evolucionadas que se les han facilitado. Además de la
adecuada formación que requiere la óptima explotación del paquete, es necesario
imbuir al usuario las normas imprescindibles de seguridad y documentación que
conlleva cualquier desarrollo.
 La fiabilidad e integridad de la información que los usuarios consiguen con estos
procedimientos. A tal fin se hace necesario la implantación de procedimientos de
seguridad que restrinjan la libre disposición de la información por cualquier tipo de
usuario.

En definitiva, se trata de que el auditor se fije en la forma en que se está utilizando el

software evolucionado y cómo puede esto repercutir en el nivel de eficiencia y
seguridad general de datos y programas de la instalación.

4.- Etapas de la auditoria de una aplicación informática.

 Recogida de información y documentación Sobre la aplicación: se realiza un estudio

preliminar en el que recogemos toda aquella información que nos pueda ser útil para
determinar los puntos débiles existentes y aquellas funciones de la aplicación que
puedan entrañar riesgos.
 Determinación de los objetivos y alcance de la auditoria: Es preciso conseguir una
gran claridad y precisión en la definición de objetivos de la auditoria, del trabajo y
pruebas que se proponen realizar, delimitando perfectamente su alcance de manera
que no ofrezca dudas de interpretación.
 Planificación de la auditoria: en este caso es de crucial importancia acertar con el
momento mas adecuado para su realización. No es conveniente que coincida con el
periodo de implantación porque los usuarios no están muy familiarizados con la
aplicación, pero al mismo tiempo el retraso excesivo puede alargar el periodo de
exposición a riesgos.
 Trabajo de campo, informe e implantación de mejoras: consiste en la ejecución del
programa de trabajo establecido. Respecto al informe se recogerán las características
del trabajo realizado, sus conclusiones, recomendaciones o propuestas de mejora. La
implentación de las mejoras identificadas en la auditoria.
Herramientas de uso a utilizar en la auditoria.

 Entrevistas: son de larga utilización a lo largo de toda la auditoria.

 Encuestas: pueden ser de utilidad tanto para determinar el alcance y objetivos
de la auditoria, como para la materialización de los objetivos relacionados con
el nivel de satisfacción de los usuarios.
 Observación del trabajo realizado por los usuarios: es necesario observar
cómo trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea
bueno y por lo tanto los controles establecidos sean efectivos.
 Pruebas de conformidad: son actuaciones orientadas específicamente a
comprobar que determinados procedimientos, normas o controles internos, se
cumplen o funcionan de acuerdo a lo previsto o esperado.
 Pruebas substantivas o de validación: orientadas a detectar la presencia o
ausencia de errores o irregularidades en procesos, controles o actividades
internos integrados en ellos.
 Uso de ordenador: es el uso de las aplicaciones software que se pueden
utilizar para realizar la auditoria, los cuales son de gran ayuda para facilitar el
trabajo.