Auditoria de Aplicaciones Informáticas

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de aplicaciones

o sistemas de información en una entidad con el propósito de determinar si su diseño y
aplicación son correctos.

Se puede destacar la vulnerabilidad que puedan presentar las aplicaciones si no se les

asigna una prioridad adecuada a los controles de seguridad en las diferentes etapas de
desarrollo.

Muchas de las vulnerabilidades que se pueden presentar son propias de la plataforma

sobre la que se desarrolla la aplicación como el sistema operativo, software de base de
datos, herramientas de desarrollo y otras son negligencias por parte del jefe de proyecto
o de departamento, diseñadores, programadores, etc.

ASPECTOS IMPORTANTES

 Se debe capacitar de manera adecuada al personal que realizara la auditoría.

 Se debe generar una correcta evaluación de los niveles de seguridad de las
aplicaciones web de la organización.

OBJETIVOS

 Registrar fielmente la información considerada de interés, en torno a las

operaciones llevadas a cabo por una determinada organización.
 Permitir la organización de procesos de cálculo y edición a partir de la
información registrada.
 Facilitar respuesta a consultas de todo tipo sobre la información almacenada,
diseñadas en contenido y forma para dar cobertura a las necesidades más comunes
constatadas.
CONTROL INTERNO

Controles Manuales

Se realiza por parte del personal usuario y son previstas para asegurar que en su
caso se preparan, autorizan y procesan todas las operaciones.

Controles Automáticos

Son incorporados a los programas de la aplicación que sirven de ayuda para

asegurar que la información se registre y se mantenga completa.

HERRAMIENTAS

a) Entrevistas
¿Qué personas entrevistar?
Deben ser aquellas que puedan aportar significativamente. Durante el desarrollo
de la entrevista el auditor tomara las anotaciones imprescindibles.
b) Encuestas
Aunque no se pueda exigir la identificación personal del encuestado, si debe
hacerse de la organización a la que pertenece.
 c) Observación
Este método deja ver que, aunque una aplicación funcione bien, puede que no
tenga nivel óptimo de efectividad esperado. Es indispensable tomar estas
observaciones para solicitar simulaciones de situaciones previsibles de error para
comprobar si la respuesta del sistema es la esperada.
d) Pruebas de conformidad
Son actuaciones orientadas específicamente a comprobar que determinados
procedimientos, normas o controles internos se cumplan o funcionen de acuerdo
con lo previsto y lo esperado.
e) Pruebas sustantivas o de validación
Este tipo de pruebas están destinados a detectar la presencia o ausencia de errores
o irregularidades en proceso actividades, transacciones o controles internos
integrados en ellos, están especialmente indicados en situaciones en las que no
hay evidencia de que existan controles internos relevantes suficientes como para
garantizar el correcto funcionamiento del proceso.

DESARROLLO (Pasos)

1. Recogida de Información y Documentación sobre la aplicación

2. Determinación de los objetivos y alcance de la auditoria
3. Planificación de la auditoria
4. Trabajo de campo, redactar el informe e implantación de mejoras