Tacnicas Y Herramientas Relacionadas Con Seguridad De Datos Y Software De Aplicacion
Primera parte de:
4.10.-Auditoria de la seguridad de los datos y del software de aplicación
1.-Controles internos sobre el análisis, desarrollo e implementación de sistemas
1.-Las actividades que se realizan para el análisis, diseño, desarrollo e implementación de sistemas de cualquier empresa son únicas y por lo tanto, no tienen parecido alguno con otras actividades.
2.-Por esta razón merecen un tratamiento más especializado.
2.- Puntos básicos
1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la información de entrada).
2.-Los puntos en el procesamiento de información en los cuales se puede introducir un error en ésta.
2.-Puntos básicos
1.-Lo adecuado de los controles introducidos para prevención, detección y corrección de errores de entrada.
3.-¿Cómo pueden ocurrir errores en los datos de entrada?
1.-Pueden estar registrados incorrectamente en el punto de entrada.
2.-Pueden haber sido convertidos incorrectamente a forma legible por la máquina.
4.-¿Cómo pueden ocurrir errores en los datos de entrada?
1.-Pueden haber sido perdidos al manejarlos;
2.-Pueden haber sido incorrectamente procesados al ser leídos por el equipo del computador.
5.-El auditor debe investigar puntos tales como:
1.-¿Qué ocurre a la información de entrada en que se encuentran los errores?
2.-¿Qué sucede con una operación no correspondida?
3.-¿Qué sucede si los totales de control no coinciden?
6.-Tipos de controles.
1.-Control de distribución.
2.-Validación de datos.
3.-Totales de control.
4.-Control de secuencia.
5.-Pruebas de consistencia y verosimilitud.
6.-Dígito de control.
7.-Control de distribución
1.-La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla.
8.-Validación de datos
1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer.
2.-Estas pruebas actúan como filtros de la información.
9.-Validación de datos
1.-Los datos que logran pasar el filtro se dice que están validados.
2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro.
10.-Totales de control
1.-Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artículos de un archivo.
2.-El resultado se compara con el total de estos mismos obtenidos manualmente.
11.-Totales de control
1.-Si el total manual no coincide con el total de la computadora es señal de que se ha producido un error, esto es debido a que no están escritos los datos correctamente, o se omita un registro, duplicar registros.
12.-Control de secuencia
1.-En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros.
13.-Control de secuencia
1.-Algunas veces se dan rangos de secuencia con vacíos entre rango y rango, entonces la investigación se hace dentro de los límites de cada rango.
14.-Control de secuencia
1.-En la mayoría de las veces el control de secuencia se produce sobre la clave de identificación del artículo, pero en otras se incorpora un campo adicional al artículo en donde se inserta el número de orden que permita el control de secuencia.
15.-Pruebas de consistencia y verosimilitud
1.-Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica.
16.-Dígito de control
1.-Dado que la clave de identificación de los artículos de un registro, permite individualizar cada uno de los artículos.
2.-Es necesario asegurarse de que el contenido de la clave esté correcto.
17.-Dígito de control
1.-Cuando se escribe un número es factible cometer ciertos errores ya típicos:
– Error de omisión.
– Error de adición.
– Error de transposición.
– Error de repetición.
– Error de transcripción.
– Error aleatorio.
18.-Dígito de control
1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es añadir una cifra más, obtenida como una combinación matemática de las distintas cifras que integran el número de la clave de identificación.
29.-Dígito de control
1.-Existen dos fases en el problema:
-Asignar a cada número de la clave su correspondiente dígito de control de manera que desde este momento para cualquier transacción el número de artículo tiene que aparecer acompañado de su dígito de control.
20.-Dígito de control
.Validación de cualquier movimiento o transacción en que intervenga el artículo.
• Para ello se forma la parte que será propiamente el número de clave, se calcula el dígito de control y se compara con el que aparece asociado en la clave.
Segunda parte de:
4.10.- Auditoría de la seguridad de los datos y del software de aplicación
1.-PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS
1.1.formas en que se pueden perder los archivos:
1.1.1.Su presencia en un ambiente destructivo.
1.1.2 .Manejo indebido por parte del operador.
1.1.3 .Mal funcionamiento de la máquina.
2.-CONSIDERACIONES DE AUDITORÍA:
1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para protección de registros y archivos y para su restitución en caso de pérdida.
Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos.
3.-PLAN DE PRESERVACIÓN
DE LA INFORMACIÓN
1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.
2.-ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es destruído, no produce una copia automáticamente una copia en duplicado.
3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresión.
Grado de confianza, satisfacción y desempeño Grado de confianza, satisfacción y desempeño
4.-OBJETIVOS DE LA AUDITORÍA DEL
SOFTWARE DE APLICACIÓN
1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.
Para satisfacer: La instalación del software La operación y seguridad del software. La administración del software
2.-DETECTAR EL GRADO DE CONFIABILIDAD.
Grado de confianza, satisfacción y desempeño
5.-Investigar si existen políticas con relación al software.
1.-Detectar si existen controles de seguridad.
2.-Verificar que sea software legalizado.
3.-Actualización del software de aplicación.
6.-EVALUACIÓN DEL SOFTWARE
El auditor debe evaluar qué software se encuentra instalado en la organización.
Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc.
También debe investigar las versiones de cada uno.
7.-ORGANIZACIÓN
El auditor debe de verificar que existan políticas para:
1.-La evaluación del software.
2.-Adquisición o instalación.
3.-Soporte a usuarios.
4.-Seguridad.
8.-INSTALACIÓN Y LEGALIZACIÓN
1.-Procedimientos para la instalación del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación del software.
2.-Actividades durante la instalación.
Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc.
9.-Justificación
En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificación del porqué de esta adquisición.
1.-Software legal
El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin licencias de uso.
10.-ENTRADA Y SALIDA
DEL SOFTWARE
Que el software que salga de la empresa sea:
1.-Revisado (contenido, cantidad, destino).
2.-Esté registrado formalmente en la empresa.
3.-Justificada plenamente su salida.
4.-Aprobado por el responsable del área de informática.
10.1-ENTRADA Y SALIDA
DEL SOFTWARE
Que el software que salga de la empresa sea:
1.-Registrado en bitácora (quién y a qué hora lo sacó)
2.-Devuelto en las mismas condiciones.
3.-El personal está comprometido a no hacer mal uso del mismo.
10.1.1ENTRADA Y SALIDA
DEL SOFTWARE
Que el software que ingrese a la empresa sea:
Revisado (contenido, cantidad, procedencia).
1.-Aprobado por el responsable de informática.
2.-Registrado (quién y a qué hora lo introdujo)
10.1.2ENTRADA Y SALIDA
DEL SOFTWARE
Que el software que ingrese a la empresa sea:
1.-Devuelto en tiempo (comparar con fecha estipulada de devolución).
2.-Devuelto en las mismas condiciones.
3.-El personal está comprometido a no hacer mal uso del mismo.
Referencia DEL PRIMER DOCUMENTO tomada de la siguiente pagina web:
BOLETIN RSS. BmcsoftwareI iso20000 . [En línea] 2010. [Fecha de acceso 10 de diciembre de 2010]. URL disponible en: http://www.mitecnologico.com/Main/TacnicasYHerramientasRelacionadasConSeguridadDeDatosYSoftwareDeAplicacion
No hay comentarios:
Publicar un comentario