Resumen Capitulo N° 5 Auditoria Informática

Controles.

Dentro de los controles los datos son uno de los recursos más valiosos de las
organizaciones, aunque son intangibles, necesitan ser controlados y auditados con el
mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener
presente:

 La responsabilidad de los datos es compartida conjuntamente por alguna función

determinada de la organización y la dirección informática.
 Un problema que se debe considerar es el que se origina por la duplicidad de los datos,
el cual consiste en poder determinas los propietarios o usuarios posibles y la
responsabilidad de su actuación y consistencia.
 Los datos deberán tener una clasificación estándar y un mecanismo de identificación
que permita identificar duplicidad y redundancia dentro de una aplicación.
 Se deben relacionar los elementos de los datos con las bases de datos donde están
almacenados, así como los reportes y grupos de procesos donde son generados.

Políticas de respaldo.

Los respaldos de la información deben realizarse mensual, semanal o diario, y se deben

observar los siguientes puntos:

 Contar con políticas formales por escrito para efectuar los respaldos mensuales,
semanales y diarios de la información.
 Todos los medios magnéticos de respaldo deben estar almacenados en un mismo
lugar.
 Debe tenerse acceso restringido al área en donde se tiene almacenados los medios
magnéticos, tanto de la operación como del respaldo.
 Se debe tener identificada las cintas por fecha, conceptos y consecutivos.
 Se debe contar con una política que indique los procedimientos a seguir en cuanto al
almacenamiento de las cintas de respaldo en un lugar diferente a la ubicación del site.
Políticas de Procedimientos.

Las políticas existentes deben estar actualizadas en todas las actividades, estar
debidamente documentadas y ser del conocimiento del personal, no contar con políticas
y procedimientos actualizados que rijan la administración del área de sistema podría
ocasionar:

 Administración inadecuada de la operación.

 Relajamiento en el cumplimiento de las obligaciones del personal.
 Inadecuada división de labores.

Las políticas y procedimientos deben incluir los siguientes puntos:

 Seguridad de la Información.
 Adquisición de Hardware y Software.
 Operación de centro de computo

Politicas de revisión de bitácora

Deben existir bitácoras de operación en las que registren los procesos realizados, los
resultados de su ejecución, la concurrencia de errores, los procesos ejecutados en el
equipo y la manera en que concluyeron. No contar una política de revisión de las bitácoras
de operaciones de los diferentes procesos puede ocasionar problemas como:

 Carecer de bases para el rastreo de errores de procesamiento.

 Falta de parámetros de evaluación respecto al funcionamiento del equipo y del
departamento de sistema.
 Ausencia de controles en cuanto a registro de seguimiento de problemas.
 Falta de parámetros para determinar las causas de una falla significativa en el sistema
y dar seguimiento a su corrección.
 Dependencia del personal para solución de errores.
 Los errores pueden presentarse en forma recurrente y no ser detectados, lo cual causa
pérdidas de tiempo en la corrección.
 Puede presentar una pérdida de tiempo al no programarse adecuadamente las
funciones, lo que tiene como consecuencia una confusión en el área respecto a los
procesos que ya se han realizado y los que se deban realizar.
Políticas de seguridad física del site.

Las instalaciones del Site deben ser las adecuadas para asegurar el buen funcionamiento
y la continuidad necesaria en las operaciones. Deben existir políticas y procedimientos
que describan los aspectos de seguridad física mininos que deben de regir dentro del
departamento de sistemas. Por tal motivo, durante la visita a las instalaciones de deben
observar los siguientes puntos:

 El acceso al site debe estar registrado por una puerta, la cual contara con una chapa
adecuada de seguridad, o con un dispositivo electrónico de control de acceso.
 Se debe tener protección en los servidores para que no puedan ser desconectados
accidental o intencionalmente y provocar así serios daños al equipo.
 Deben existir documentos o carteles que indiquen las normas de seguridad mínima
que deben se observarse al estar en el site.
 El personal operativo no debe permitir el acceso a personal ajeno al departamento.
 No debe tenerse papel para impresión dentro del site, el cual es un objeto potencial de
algún desastre.

Control de datos fuentes y manejos de cifras de control.

La mayoría de los delitos por computadoras son cometidos por modificaciones de datos
fuentes al:

 Suprimir u omitir datos

 Adicionar datos
 Alterar datos
 Duplicar procesos

Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son
responsables de la captura y modificación de la información. Por ello, se debe tener un
adecuado control con señalamiento de responsables de los datos (uno de los usuarios debe
ser el único responsable de determinado dato), con una clave de acceso de acuerdo a
niveles.
Control de operación.

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente

afectado por la calidad e integridad de la documentación requerida para el proceso en la
computadora. Los instructivos de operación proporcionada al operador informático sobre
los procedimientos que deben seguir en situaciones normales y anormales del
procesamiento, y si la información es incorrecta o inadecuada.

Control de asignación de trabajo

Esta parte se relaciona con la dirección de las operaciones de la computadora en términos

de la eficiencia y satisfacción del usuario. Esta sección debe ser comparada con la opción
del usuario. La función clave del personal de cargas de maquina está relacionada con el
logo eficiente y efectivo de varios aspectos.

 Satisfacer las necesidades de tiempo del usuario.

 Ser compatible con los programas de recepción y transcripción de datos.
 Permitir niveles efectivos de utilización de los equipos y sistemas de operación.
 Volver la utilización de los equipos en línea.
 Entregar a tiempo y correctamente los procesos en lotes.

Control de medios de almacenamiento masivo.

Los dispositivos de almacenamiento representan, para cualquier centro de cómputo,

archivos extremadamente importantes, cuya pérdida parcial o total podría tener
repercusiones muy serias, no solo en la unidad de informática, sino en la dependencia en
la cual se presta servicio. Una dirección de informática bien administrada debe tener
perfectamente protegidos estos dispositivos de almacenamiento, además de mantener
registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a
los programas de limpieza (borrado de información), principalmente en el caso de las
cintas.
Control de Mantenimiento

Existen básicamente tres tipos de contrato de mantenimiento. El contrato de

mantenimiento total, incluye el mantenimiento correctivo y preventivo, el cual a su vez
puede dividirse en aquel que incluye las partes dentro del contrato y el que no las incluye.
El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de
descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de
contrato es normalmente el más caro, pero se deja al proveedor la responsabilidad total
del mantenimiento a excepción de daños por negligencia en la utilización de los equipos.

Evaluación del Mantenimiento

Cuando se evalúa la capacidad de los equipos, no se debe olvidar que la capacidad bruta
disponible se deberá disminuir por las actividades de mantenimiento preventivo, fallas
internas y externas no previstas, y mantenimiento e instalación de nuevos sistemas.

El enfoque de esta sección de orienta a evaluar, mediante los controles que se tengan en
la dirección, la utilización del sistema de cómputo. Un control adecuado permitirá
sustentar sólidamente cualquier solicitud de expansión de la configuración presente.

Orden en el centro de cómputo.

Una dirección de informática bien administrada debe tener y observar reglas relativas al
orden y cuidado de la sala de maquinas. Los dispositivos del sistema de cómputo y los
archivos magnéticos pueden ser dañados si se manejan en forma inadecuada, lo que puede
traducirse en pérdidas irreparables de información o en costos muy elevados en la
reconstrucción de archivos. Por ello, se deben revisar las disposiciones y reglamentos que
coadyuven al mantenimiento del orden dentro de la sala de máquinas.

Evaluación de la configuración del sistema de cómputo.

Los objetivos son evaluar la configuración actual, tomando en consideración las

aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el
sistema operativo satisface las necesidades de la instalación y revisar las políticas
seguidas por la unidad de información en la conservación de su programática. Esta sesión
está orientada a:

 Evaluar posibles cambios en el Hardware a fin de nivelar el sistema de cómputo

(computadoras, unidades periféricas, redes, sistemas de comunicación), con carga de
trabajo actual, o de comparar la capacidad instalada con los planes de desarrollo a
mediano o largo plazo.
 Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo
de proceso.
 Evaluar la utilización de los diferentes dispositivos periféricos.

Puntos a evaluar en los equipos

El equipo que se adquiere dentro de la organización debe cumplir con el esquema de

adquisición de toda la organización. En lo posible, se deben tener equipos estándares
dentro de la organización, a menos que por requerimientos específicos se necesite un
equipo con características distintas. Esto no implica que los equipos tengan que ser del
mismo proveedor, aunque si deben tener la misma filosofía.